Phisher mit neuer Taktik

Die Technik dient dazu, eine Phishing-Site so lange wie möglich am Netz zu halten. Die durchschnittliche Lebensdauer einer Phishing-Site beträgt nach Angaben von Naftali Bennet, Senior Vice President der US-Sicherheitsfirma Cyota, etwa fünf bis sechs Tage. So lange braucht es ungefähr, bis der Internet Service Provider (ISP), der die Phishing-Seite hostet, die Abschaltung veranlasst hat.

Neu ist jetzt, dass die Phisher identische Kopien einer Phishing-Site fabrizieren. Die Seiten werden unter unterschiedlichen IP-Adressen und über verschiedene ISPs ins Netz gestellt. Die Datendiebe verschicken dann wie gehabt Phishing-E-Mails. Diese enthalten jedoch nicht wie bisher einen direkten Link zu einer der Phishing-Sites, sondern einen Link zu einer anderen Seite, dem ‘Central Redirector’.

Klickt der Empfänger der E-Mail auf den Link, prüft der Central Redirector, welche der angeschlossenen Phishing-Seiten noch aktiv ist. Der Anwender wird dann zu dieser Site weitergeleitet und dazu aufgefordert, vertrauliche Daten – wie die Kreditkartennummer – in ein Webformular einzutragen.

Die Technik sei eine Art Evolution der Phisher-Taktik, sagte Bennet in US-Medien. Die Datendiebe verschickten Millionen E-Mails und nutzten gleichzeitig Smart Site Redirection, was ihnen eine “maximale Abdeckung in der kürzesten Zeit sichere”. Cyota hat nach eigenen Angaben bislang zwei entsprechende Attacken registriert – eine in Großbritannien und eine Kanada.